Vulnerabilidad en Concrete CMS (CVE-2024-3181)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/04/2024
Última modificación:
16/12/2024
Descripción
La versión 9 de Concrete CMS anterior a 9.2.8 y las versiones anteriores a 8.5.16 son vulnerables a XSS Almacenado en el campo de búsqueda. Antes de la solución, un administrador podía ejecutar el XSS almacenado cambiando un filtro al que un administrador deshonesto había agregado previamente código malicioso. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v3.1 de 3.1 con un vector de AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A: L https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator. Gracias Alexey Solovyev por informar
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 8.5.16 (excluyendo) | |
cpe:2.3:a:concretecms:concrete_cms:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.2.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/928-release-notes?_gl=1%2A1bcxp5s%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY2ODEuMC4wLjA.
- https://documentation.concretecms.org/developers/introduction/version-history/8516-release-notes?_gl=1%2A1oa3zn1%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY3MDcuMC4wLjA.
- https://documentation.concretecms.org/9-x/developers/introduction/version-history/928-release-notes?_gl=1%2A1bcxp5s%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY2ODEuMC4wLjA.
- https://documentation.concretecms.org/developers/introduction/version-history/8516-release-notes?_gl=1%2A1oa3zn1%2A_ga%2AMTc1NDc0Njk2Mi4xNzA2ODI4MDU1%2A_ga_HFB3HPNNLS%2AMTcxMjE2NjYyNi4xMy4xLjE3MTIxNjY3MDcuMC4wLjA.